comptes pirates

Mon compte Instagram a été piraté : que faire dans les 24 premières heures

Compte Instagram piraté ? La checklist heure par heure pour le récupérer et éviter la propagation aux contacts.

Par Étienne Aubry · · 9 min de lecture
Illustration : récupération d'un compte Instagram piraté en urgence

Mon compte Instagram a été piraté : que faire dans les 24 premières heures

Vous ouvrez Instagram et votre mot de passe est refusé. Vous recevez un e-mail vous informant que votre adresse de récupération a été modifiée. Vos abonnés vous écrivent en privé pour vous signaler des stories étranges, souvent autour de cryptomonnaies ou de fausses offres d’iPhone. Votre compte Instagram a été piraté, et chaque heure compte.

Cet article vous propose un parcours horaire concret : ce qu’il faut faire dans les 60 premières minutes, dans les 6 premières heures, puis dans les 24 heures qui suivent. Les chances de récupération chutent fortement après 48 heures, parce que l’attaquant a alors eu le temps de tout modifier (e-mail, numéro, nom d’utilisateur, photo de profil).

Pourquoi les comptes Instagram sont aussi ciblés

Avant de plonger dans la marche à suivre, comprenez le contexte. Les comptes Instagram sont une cible privilégiée pour trois raisons. D’abord parce qu’ils sont massivement utilisés en France (plus de 30 millions de comptes actifs). Ensuite parce qu’ils ouvrent un accès à un vivier de contacts crédules — les escrocs publient des stories d’arnaque qui paraissent venir d’un ami de confiance. Enfin parce que les comptes avec plus de 1 000 abonnés ont une valeur revendable sur les forums spécialisés, parfois jusqu’à plusieurs centaines d’euros.

L’augmentation est massive : selon Cybermalveillance.gouv.fr, l’hameçonnage tous canaux a bondi de 70 % en 2025. Les comptes Meta (Facebook, Instagram, WhatsApp) sont les premières victimes de ces campagnes massives. La plupart des piratages Instagram commencent par un DM piraté d’un de vos amis qui vous envoie un lien vers un faux concours, un faux NFT à valider, ou un faux formulaire de vérification de compte. Vous cliquez, vous entrez vos identifiants — game over.

Les 60 premières minutes : sécurisation immédiate

Minute 1 à 10 — Rendez-vous sur instagram.com/hacked. C’est le portail officiel de Meta pour les comptes compromis. Faites-le depuis un appareil de confiance (votre ordinateur personnel, pas celui sur lequel vous avez peut-être cliqué un lien suspect).

Minute 10 à 25 — Demandez un lien de connexion par e-mail. Si l’attaquant n’a pas encore modifié votre adresse e-mail de récupération, vous recevrez un mail Meta avec un lien de récupération. Cliquez immédiatement. Si l’e-mail a été modifié, Instagram envoie une notification sur l’ancienne adresse avec un bouton « Annuler ce changement » : utilisez-le sans attendre, c’est votre meilleure carte.

Minute 25 à 45 — Si vous êtes verrouillé·e dehors, demandez la vérification par selfie vidéo via le formulaire « Mon compte a été piraté ». Instagram vous fait enregistrer une courte vidéo où vous prononcez une phrase à l’écran. C’est aujourd’hui le moyen le plus rapide quand il est disponible.

Minute 45 à 60 — Prévenez vos abonnés via un autre canal. Une story sur un compte secondaire, un message WhatsApp groupé à vos proches, une note LinkedIn courte : il faut que vos contacts sachent qu’ils ne doivent pas suivre les liens envoyés en votre nom. C’est aussi simple que « Mon compte Insta a été piraté, ne cliquez sur rien venant de moi pour les prochaines heures. »

Les 6 premières heures : creuser le dossier

Une fois la sécurisation lancée, prenez le temps d’organiser le dossier.

Conservez TOUTES les preuves. Captures d’écran datées des publications frauduleuses, des messages reçus de vos abonnés, des e-mails Meta sur le changement de mot de passe, et des stories publiées sans votre accord. Vous en aurez besoin pour le signalement officiel, pour Instagram, et éventuellement pour porter plainte si un préjudice financier a touché vos contacts.

Reconstituez le « point d’entrée ». Avez-vous cliqué récemment sur un DM suspect ? Saisi votre mot de passe sur un faux site (vérifiez l’URL exacte — souvent une variante de « instagram-verify.something.fr ») ? Reçu un appel ou un SMS qui vous a demandé un code reçu par ailleurs ? Cette compréhension vous évite la rechute.

Vérifiez vos comptes liés. Si votre Instagram est lié à votre Facebook ou à un compte WhatsApp Business, ces comptes sont également à risque. Modifiez les mots de passe et vérifiez les sessions actives. Voyez aussi notre guide complet pour un compte Facebook piraté si vous êtes concerné·e sur les deux plateformes en cascade.

Signalez sur 17cyber.gouv.fr. Ce portail étatique vous donne un numéro de dossier et vous oriente sur les démarches complémentaires. C’est gratuit, c’est rapide, et c’est obligatoire si un préjudice financier est associé (par exemple si l’escroc a publié de fausses ventes en votre nom).

Les 24 heures suivantes : récupération et durcissement

Le formulaire d’identité Meta

Si la vérification par selfie n’a pas suffi, Meta propose un formulaire d’identité. Vous téléversez une pièce d’identité officielle (carte nationale d’identité, passeport, permis de conduire). Quelques règles qui changent le taux d’acceptation :

  • Le nom inscrit sur la pièce doit correspondre exactement à celui affiché publiquement sur le compte.
  • La photo doit être nette, sans reflet, avec tous les angles visibles.
  • Vous pouvez cacher les éléments inutiles à l’identification (groupe sanguin, taille) comme le recommande la CNIL, mais pas le nom ni le numéro de la pièce.
  • Une seule soumission. Ne multipliez pas les demandes — vous ne ferez que rallonger le délai de traitement.

Le délai de réponse Meta varie de 24 heures à plusieurs semaines. Je n’ai jamais pu obtenir d’engagement de Meta sur un délai, et personne ne peut le faire à votre place. Quiconque vous promet « récupération en 24 h garantie » vous arnaque ; voyez aussi notre page menace dédiée aux comptes Instagram piratés pour la check-list complète.

Le cas particulier des comptes pros

Si votre compte Instagram est un compte professionnel ou Creator avec un certain volume d’abonnés, vous avez accès à un canal de support Meta Business. C’est légèrement plus rapide en théorie. En pratique, le résultat dépend beaucoup de la précision du dossier : préparez les factures Meta Ads des 12 derniers mois (preuve d’usage commercial du compte), les e-mails de notification Meta, et un historique de publications datées.

Durcir le compte une fois récupéré

Quand vous reprenez le contrôle, ne refaites surtout pas comme avant. Trois actions sont indispensables :

  1. Mot de passe long et unique, stocké dans un gestionnaire (Bitwarden, 1Password, trousseau Apple, Proton Pass). Ne réutilisez jamais ce mot de passe ailleurs.
  2. Double authentification par application authentificatrice. Google Authenticator, Microsoft Authenticator, Authy ou Bitwarden Authenticator. Évitez absolument la 2FA par SMS, vulnérable au SIM swap qui a explosé en 2025 (+517 % d’usurpations de numéros selon Cybermalveillance).
  3. Audit des sessions actives depuis Paramètres → Sécurité → Sessions actives. Déconnectez tout ce qui n’est pas vous.

Ce qu’il ne faut surtout PAS faire

Les pièges classiques quand on panique :

  • Payer un « hacker éthique » sur Telegram ou TikTok qui promet de récupérer le compte. Toujours une arnaque secondaire. L’argent est perdu, et souvent ils reviennent demander plus.
  • Cliquer sur un mail prétendant venir d’Instagram vous demandant vos identifiants pour « valider l’identité ». Meta ne procède jamais comme cela — les communications passent par les notifications dans l’application.
  • Confier votre carte d’identité à un anonyme sur un réseau social qui propose de transmettre votre dossier en interne. Aucun support Meta légitime ne fonctionne ainsi.
  • Créer immédiatement un nouveau compte avec le même nom d’utilisateur : il sera bloqué (le nom est encore actif sur le compte compromis) et Meta peut vous suspecter de tentative d’évitement.

Pour éviter la prochaine fois

La quasi-totalité des piratages Instagram commence par une réutilisation de mot de passe. Sur Have I Been Pwned, plus de 70 % des adresses e-mail françaises apparaissent dans au moins une fuite connue. Si le mot de passe que vous utilisez sur Instagram est aussi celui d’un site marchand piraté il y a deux ans, vous êtes vulnérable peu importe sa complexité.

Trois bonnes habitudes éliminent 90 % du risque :

  • Un mot de passe unique par compte, généré et stocké par un gestionnaire.
  • La 2FA par application authentificatrice sur tous les comptes critiques.
  • Une veille permanente sur vos identifiants — c’est ce qu’inclut notre abonnement Sérénité Cyber, avec alerte sous 24 heures à chaque nouvelle fuite.

En résumé

Les 60 premières minutes sont décisives : rendez-vous sur instagram.com/hacked, demandez un lien de récupération, lancez le processus de vérification d’identité, prévenez vos contacts par un autre canal. Conservez les preuves, signalez sur 17cyber.gouv.fr, vérifiez vos comptes liés. Au-delà de 24 heures, soumettez le formulaire d’identité ou la vérification vidéo, et attendez la réponse de Meta avec patience. Et surtout, fuyez toute offre de « récupération garantie » payante : c’est presque toujours une seconde arnaque.

Si vous êtes au Mans ou en Sarthe et que vous préférez être accompagné·e tout au long de la démarche, je propose un forfait curatif à 199 € (99,50 € après crédit d’impôt service à la personne) couvrant la sécurisation, le suivi du dossier Meta, le signalement officiel et l’aide au dépôt de plainte si nécessaire. Prenez rendez-vous via la page intervention d’urgence ou appelez-moi au 07 51 13 37 69 — réponse sous 24 heures ouvrées garantie.

Vous voulez aller plus loin ?

Forfait intervention post-piratage

Forfait clair pour reprendre le contrôle après un compte piraté, une arnaque téléphonique ou une fraude bancaire. Pas de surprise tarifaire.

Réserver une intervention

199 € — 99,50 € après déduction fiscale